Opsio - Cloud and AI Solutions
Security4 min read· 877 words

Vad är en SOC-rapport? SOC 1, SOC 2 och SOC 3 jämförelse

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Published: ·Updated: ·Reviewed by Opsio Engineering Team
Översatt från engelska och granskad av Opsios redaktion. Visa originalet →

Quick Answer

En SOC-rapport (Service Organization Control-rapport) är ett formellt dokument framtaget av en oberoende revisorer (auktoriserad CPA-byrå) som attesterar att en tjänsteorganisation har designat och/eller följer kontroller för att skydda sin kunddata och driva sina system tillförlitligt. SOC-rapporter är de facto-standarden i B2B-upphandlingar för SaaS-, moln- och tjänsteleverantörer — och allt vanligare som krav från svenska bank, försäkringsbolag, börsnoterade företag och offentlig sektor. Den här guiden förklarar vad en SOC-rapport innehåller, skillnaden mellan SOC 1, SOC 2 och SOC 3, vad Type I och Type II betyder, och hur svenska företag använder SOC-rapporter i upphandlingar och egen compliance. De tre typerna av SOC-rapporter Rapport Fokus Målgrupp Distribution SOC 1 Kontroller som påverkar kundens finansiella rapportering Kundens externa revisor Begränsad till relevanta intressenter SOC 2 Säkerhet, tillgänglighet, processintegritet, konfidentialitet, integritetsskydd ("Trust Services Criteria") Kundens säkerhetsteam, upphandlare, IT-chefer Under NDA — inte publik SOC 3 Samma som SOC 2 men förkortad och förenklad

Key Topics Covered

Gratis pentest

Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.

Ansök

En SOC-rapport (Service Organization Control-rapport) är ett formellt dokument framtaget av en oberoende revisorer (auktoriserad CPA-byrå) som attesterar att en tjänsteorganisation har designat och/eller följer kontroller för att skydda sin kunddata och driva sina system tillförlitligt. SOC-rapporter är de facto-standarden i B2B-upphandlingar för SaaS-, moln- och tjänsteleverantörer — och allt vanligare som krav från svenska bank, försäkringsbolag, börsnoterade företag och offentlig sektor.

Den här guiden förklarar vad en SOC-rapport innehåller, skillnaden mellan SOC 1, SOC 2 och SOC 3, vad Type I och Type II betyder, och hur svenska företag använder SOC-rapporter i upphandlingar och egen compliance.

De tre typerna av SOC-rapporter

RapportFokusMålgruppDistribution
SOC 1Kontroller som påverkar kundens finansiella rapporteringKundens externa revisorBegränsad till relevanta intressenter
SOC 2Säkerhet, tillgänglighet, processintegritet, konfidentialitet, integritetsskydd ("Trust Services Criteria")Kundens säkerhetsteam, upphandlare, IT-cheferUnder NDA — inte publik
SOC 3Samma som SOC 2 men förkortad och förenklad formAllmänheten, marknadsföringPublik distribution möjlig

För de flesta svenska SaaS- och molnleverantörer är SOC 2 den enda relevanta rapportformen. SOC 1 är endast aktuell om tjänsten direkt påverkar kundens räkenskaper. SOC 3 är en marknadsföringsversion som tas fram efter att SOC 2 redan är genomförd.

Type I vs Type II — kritisk skillnad

  • Type I: Bedömer om kontrollerna är designade korrekt vid en specifik tidpunkt. En ögonblicksbild. Svarar på: "Har ni de rätta kontrollerna på pappret?"
  • Type II: Bedömer om kontrollerna fungerar effektivt över en längre period (oftast 6-12 månader). Svarar på: "Följer ni faktiskt era kontroller?"

I svensk B2B-upphandling 2026 är SOC 2 Type II de facto-kravet. Type I accepteras ibland som ett första steg men sällan som slutbeslut. Den färdiga rapporten ska vara uppdaterad (inte äldre än 12 månader).

Kostnadsfri experthjälp

Behöver ni hjälp med cloud?

Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Vad innehåller en SOC 2 Type II-rapport?

  • Section 1: Independent Service Auditor's Report — revisorernas slutsats och eventuella undantag.
  • Section 2: Management's Assertion — företagets eget uttalande om kontroller.
  • Section 3: System Description — beskrivning av tjänsten, dess infrastruktur, datatyper, och relaterade processer (typiskt 30-80 sidor).
  • Section 4: Trust Services Criteria och kontrolltester — för varje kontroll: beskrivning, test som utfördes, och resultat (typiskt 50-200 sidor).
  • Section 5: Other Information — valfri sektion med tilläggsinformation från ledningen.

Den färdiga rapporten är typiskt 80-300 sidor. För kunders säkerhetsteam är Section 4 mest värdefull eftersom den visar konkret vilka kontroller som testats och om de fungerade under perioden.

När begär man en SOC-rapport?

Som svensk B2B-kund bör SOC 2 Type II-rapport begäras från följande leverantörer:

  • SaaS-leverantörer som hanterar produktionsdata, kunddata eller verksamhetskritiska processer
  • Molnleverantörer och managed service providers
  • Datacenter och hostingleverantörer
  • Outsourcade administrativa tjänster (HR-system, ekonomi-system)
  • Säkerhets- och cyberförsvarsleverantörer (MSSP, EDR)

SOC-rapporten bör vara en del av leverantörsutvärderingen och förnyas årligen som del av leverantörsuppföljning.

Hur producerar man en SOC-rapport som svensk leverantör?

  1. Gap-analys (4-8 veckor) — extern konsult granskar nuläget mot Trust Services Criteria.
  2. Åtgärdsplan (3-9 månader) — införande av saknade kontroller.
  3. Observationsperiod (6-12 månader) — kontroller ska vara aktiva under sammanhängande period.
  4. Type II-revision (4-8 veckor) — auktoriserad revisorer (Deloitte, EY, KPMG, PwC, BDO, Grant Thornton) testar kontroller.
  5. Årlig omcertifiering — Type II är giltig 12 månader.

Totalkostnad första året: typiskt 1-6 miljoner kr för svenskt SaaS-företag. Årlig återkommande: 300 000-1,5 miljoner kr. Se vår fördjupade SOC-överensstämmelse-guide för komplett process.

Vanliga frågor

Vad är en SOC-rapport?

En SOC-rapport (Service Organization Control) är ett formellt dokument framtaget av en oberoende revisorer som attesterar att en tjänsteorganisation har designat och/eller följer kontroller för att skydda kunddata och drifta sina system tillförlitligt. De facto-standarden i B2B-upphandlingar för SaaS, moln och tjänsteleverantörer.

Vad är skillnaden mellan SOC 1, SOC 2 och SOC 3?

SOC 1 fokuserar på kontroller som påverkar kundens finansiella rapportering — relevant för lönehantering, faktureringstjänster, finansiella back-office. SOC 2 täcker säkerhet, tillgänglighet, processintegritet, konfidentialitet och integritetsskydd — den vanligaste för SaaS, moln och MSP. SOC 3 är en förkortad publik version av SOC 2 som kan distribueras öppet (t.ex. som sigill på webbplats).

Vad är skillnaden mellan SOC Type I och Type II?

Type I bedömer om kontrollerna är designade korrekt vid en specifik tidpunkt — en ögonblicksbild. Type II bedömer om kontrollerna fungerar effektivt över 6-12 månader — testning av faktisk efterlevnad. I svensk B2B-upphandling 2026 är SOC 2 Type II de facto-kravet. Type I accepteras ibland som första steg men sällan som slutbeslut.

Vad innehåller en SOC 2 Type II-rapport?

Rapporten består av 5 sektioner: (1) Independent Service Auditor's Report med revisorernas slutsats, (2) Management's Assertion från företaget, (3) System Description som beskriver tjänsten, (4) Trust Services Criteria och kontrolltester med detaljerade resultat (den mest värdefulla sektionen för säkerhetsteam), och (5) Other Information som valfri tilläggsinformation. Totalt typiskt 80-300 sidor.

När bör man begära en SOC-rapport från en leverantör?

SOC 2 Type II bör begäras från: SaaS-leverantörer med produktionsdata eller kunddata, molnleverantörer och MSP, datacenter och hosting, outsourcade administrativa tjänster (HR, ekonomi), och säkerhetsleverantörer (MSSP, EDR). Bör vara del av leverantörsutvärdering och förnyas årligen som leverantörsuppföljning.

Vad kostar det att producera en SOC 2-rapport?

Totalkostnad första året för ett medelstort svenskt SaaS-företag: typiskt 1-6 miljoner kr (gap-analys + implementation + första revision). Återkommande årlig kostnad: 300 000-1,5 miljon kr. Komponenter: gap-analys 150 000-500 000 kr, implementation av kontroller 500 000-4 miljoner kr, årlig Type II-revision 200 000-600 000 kr (auktoriserade revisorer som Deloitte, EY, KPMG, PwC), och compliance-mjukvara 80 000-500 000 kr/år.

Relaterad läsning

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.